Notepad++ – široko uporabljen urejevalnik besedil v sistemu Windows – je opozoril, da je bila njegova infrastruktura za posodabljanje ogrožena več mesecev, kar je napadalcem omogočilo, da nekatere uporabnike selektivno preusmerijo na zlonamerne posodobitve. Ars Technica poroča, da se je vdor začel junija 2025 in da nadzor ni bil v celoti vzpostavljen do decembra.
To je klasičen vzorec dobavne verige: namesto da bi napadalci neposredno izkoristili vsako žrtev, ciljajo na pot posodobitve, tako da programska oprema sama postane dostavno sredstvo.
Kako je izgledal napad
Po navedbah Arsa so napadalci pridobili nadzor na "ravni infrastrukture", ki jim je omogočil prestrezanje in preusmerjanje posodobitvenega prometa, namenjenega domeni Notepad++. Namesto da bi bil prizadet vsak uporabnik, je bila preusmeritev selektivna – usmerjena na tarče, ki jih zanimajo.
Ta selektivnost je pomemben namig. Nakazuje, da so imeli napadalci bodisi določen nabor žrtev bodisi so se poskušali izogniti odkritju z ohranjanjem nizke količine okužb.
Zakaj so posodobitveni programi tako dragocena tarča
Mehanizmi samodejnega posodabljanja so zasnovani tako, da počnejo tri nevarne stvari:
- Pridobi kodo z interneta
- Zapiši na disk
- Izvedi
Točno to si zlonamerna programska oprema želi. Edina stvar, ki stoji med »posodobitvijo« in »okužbo«, je preverjanje.
Če posodabljalec:
- Ne uporablja dosledno močnega TLS-a
- Ne preverja podpisov pravilno
- Zaupa datoteki manifesta, ki jo je mogoče spreminjati
... potem je lahko prestrezanje ali preusmerjanje prometa dovolj za zamenjavo koristnega tovora.
Posebnosti (in šibke točke) programa za posodabljanje Notepad++
Ars opisuje program za posodabljanje po meri (GUP / WinGUP), ki:
- Sporoči svojo različico URL-ju Notepad++
- Pridobi navodila za posodobitev iz datoteke XML
- Prenese namestitveni program v začasno mapo in ga zažene
Šibka točka mnogih sistemov je korak »manifest«. Če je manifest mogoče zamenjati ali spremeniti, je mogoče posodobitev usmeriti na katero koli lokacijo prenosa.
Katere različice naj bi uporabljali uporabniki
Poročilo Arsa ugotavlja, da so razvijalci uporabnike pozvali, naj zagotovijo, da uporabljajo različico 8.9.1 ali novejšo.
Praviloma v takšnih primerih velja:
- Raje ročno namestite z uradne strani
- Izogibajte se »prenosnim ogledalom« tretjih oseb in rezultatom iskanja, polnim oglasov
- Nepričakovano časovno omejene pozive k posodobitvi obravnavajte kot sumljive
Kako oceniti svojo izpostavljenost
Za ciljno usmerjeno kampanjo morda ni popolnih kazalnikov kompromisa, vendar lahko zmanjšate negotovost:
- Potrdite nameščeno različicoin ga primerjajte s trenutnimi izdajami.
- Preverite podpis namestitvenega programaza binarne datoteke Notepad++, ki jih imate.
- Pregled sistemskih dnevnikovza nenavadne zagone procesov v času posodobitev (namestitveni procesi, ki jih ne prepoznate, omrežni klici nenavadnih domen).
- Skeniranje z EDR/AVki lahko zaznajo znana zadnja vrata, o katerih poročajo odzivniki na incidente.
Za organizacije je smiselno tudi:
- Omeji dostop komponent programa za posodobitev do interneta
- Uporabljajte nadzorovano uvajanje programske opreme (paket MSI, interni repozitoriji)
Kaj to pove o odvisnostih od odprte kode
Notepad++ je brezplačen, močno uporabljen in pogosto premalo financiran glede na svoj pomen. To neskladje se kaže v krhki infrastrukturi in prilagojenih sistemih posodabljanja, ki niso bili zasnovani za modele groženj na ravni posameznih držav.
Širši nauk ni "ne uporabljajte odprtokodne programske opreme". Gre za to, da projekti odprte kode, od katerih je veliko odvisno, potrebujejo:
- Sodobni okviri za posodabljanje
- Varnostni pregledi
- Financiranje infrastrukture in odzivanja na incidente
Bistvo
Če uporabljate Notepad++, predpostavite, da je bil kanal za posodobitve leta 2025 potencialna površina za napad. Poiščite najnovejšo različico, dajte prednost uradnim/ročnim namestitvam in obravnavajte integriteto programa za posodobitve (podpise in manifeste) kot resnično varnostno mejo.
Slovenščina
English
العربية
Čeština
Dansk
Nederlands
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
日本語
한국어
Latviešu valoda
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Español
Svenska
Türkçe